Exchange Server中的 In-Place 保留和诉讼保留

  • 项目

当存在诉讼的合理预期时,需要组织保留与事实相关的以电子方式存储的信息 (ESI),包括电子邮件。 这种预期通常会在知道事实的细节之前发生,并且保留内容通常很广泛。 组织可能需要保留与特定主题相关的所有电子邮件,或特定个人的所有电子邮件。 可能会采用以下度量标准来保留电子邮件,具体取决于组织的电子发现(电子数据展示)实践:

  • 可能会要求最终用户通过不删除任何邮件来保留电子邮件。 但是,用户仍然可能会有意或无意地删除电子邮件。

  • 自动删除机制(如邮件记录管理 (MRM))可能被挂起。 这可能导致用户邮箱因有大量电子邮件而变得杂乱,因而影响用户的工作效率。 挂起自动删除也不能防止用户手动删除电子邮件。

  • 一些组织会将电子邮件复制或移动到存档中以确保它不被删除、更改或篡改。 由于将电子邮件复制或移动到存档需要手动操作,或使用第三方产品在 Exchange 外部收集和存储电子邮件,这将增加成本。

如果未能保留电子邮件,则可能会使组织面临法律和财务风险,例如组织的记录保留和发现过程的审查、不利的法律判决、制裁或罚款等。

诉讼保留和 In-Place 保留

Exchange Server有两种类型的保留:诉讼保留和 In-Place 保留。 诉讼保留使用邮箱的 LitigationHoldEnabled 属性。 启用诉讼保留后,所有邮箱的所有项目都会处于保留状态。 相反,可以使用 In-Place 保留来仅保留那些满足使用 In-Place 电子数据展示工具定义的搜索查询条件的项目。 可以在邮箱上放置多个 In-Place 保留,但对邮箱启用或禁用诉讼保留。 对于这两种类型的保留,还可以指定保留项目的持续时间。 持续时间从接收或创建邮箱项目的日期开始计算。 如果未设置持续时间,项目会无限期保留或一直保留到删除保留。 如果从邮箱中删除诉讼保留,但邮箱上仍存在一个或多个 In-Place 保留,则会在保留设置中指定的时间段内保留符合 In-Place 保留条件的项目。

你可以使用就地保留将用户置于多个保留中。 将用户放在多个保留中时,来自任何基于查询的搜索查询将合并(使用 OR 运算符)。 在这种情况下,放在一个邮箱中的所有基于查询的保留中关键字的最大数量为 500。 如果超过 500 个关键字,则邮箱中的所有内容都将置于保留状态(而不只是符合搜索条件的内容)。 将保留所有内容,直到关键字总数减少到 500 或更少。

将 Exchange 2010 或 Exchange 2013 中的诉讼保留邮箱移动到 Exchange 2016 中的邮箱服务器时,诉讼保留设置将继续应用,确保移动期间和移动后符合性要求。

重要

将邮箱置于诉讼保留或 In-Place 保留时,保留将同时置于主邮箱和存档邮箱上。

有关何时使用每种类型的保留的详细信息,请参阅 将所有邮箱置于保留状态

保留目标和功能

可以使用诉讼保留和 In-Place 保留来实现以下目标:

  • 保留用户邮箱并永久保留邮箱项目。

  • 无限期保留项目或保留特定的持续时间。

  • 保留由用户或自动过程(如 MRM)删除的邮箱项目。

  • 保留转发到另一个邮箱的邮件。

  • 使用基于查询 In-Place 保留来搜索和保留符合指定条件的项目 (还可以在创建保留时包括所有邮箱内容来保留所有项目)

  • 将用户置于多个保留中用于不同的事例或调查。

  • 通过不必挂起 MRM 使保留对用户是透明的。

  • 使用 In-Place 电子数据展示搜索保留的项目

如果要从 Exchange Server 2010 升级,法定保留的概念是无限期地保留用户的所有邮箱数据,或直到删除保留为止。 在 Exchange 2016 中,In-Place Hold 引入了一个不同的模型,用于指定以下参数:

  • 基于查询的保留:使用诉讼保留时,将保留邮箱中的所有项目。 但是,In-Place 保留允许使用搜索查询参数(如关键字、发件人和收件人、开始和结束日期)指定要保留哪些项目,还可以指定要保留的邮件类型,例如电子邮件、日历项目和Skype for Business对话。 创建基于查询的就地保留之后,会保留与查询参数匹配的所有现有邮箱项目和将来项目(包括在以后日期接收的邮件)。 诉讼保留不支持基于查询的保留。

  • 保留持续时间:在诉讼保留和 In-Place 保留中,可以指定保留项目的时长。 可以指定无限保留持续时间或基于时间的保留持续时间。 持续时间从接收或创建邮箱项目的日期开始计算。 例如,如果组织要求将所有邮箱项目保留 7 年,则可以创建基于时间的保留。 因此,如果邮箱处于保留状态,并且保留期设置为 7 年,并且邮箱中的项目在收到之日起 2 年后被永久删除,则会保留 5 年,然后从邮箱数据库清除。

    提示

    可以将基于时间的保留与保留策略结合使用,以确保项目在指定的持续时间内保留,然后在保留期和保留期到期后从 Exchange 中永久删除。

将邮箱置于保留状态

法定保留管理角色需要将邮箱置于诉讼保留或 In-Place 保留。 但是,若要创建基于查询 In-Place 保留,还必须分配邮箱搜索角色。 已添加到 发现管理 基于角色的访问控制 (RBAC) 角色组的用户 (或分配了法定保留和邮箱搜索角色) 可以让用户保留并创建基于查询的 In-Place 保留。 若要了解如何将成员添加到发现管理角色组,请参阅在 Exchange Server 中分配电子数据展示权限

可以在 Exchange 管理中心的 “收件人 ”页上放置邮箱诉讼保留,也可以使用 Set-Mailbox -LitigationHoldEnabled $true Exchange 命令行管理程序中的 命令。

In-Place 保留功能与 In-Place 电子数据展示搜索集成。 可以使用 EAC 中的就 地电子数据展示 & 保留 向导或 Exchange 命令行管理程序中的 New-MailboxSearch cmdlet 将邮箱置于 In-Place 保留上。 若要了解如何操作,请参阅:

注意

如果使用Exchange Online Archiving为本地邮箱预配基于云的存档,则必须管理本地Exchange Server组织的 In-Place 保留。 使用 DirSync 自动将保留设置传播到基于云的存档。

许多组织都需要用户在置于保留时得到通知。 此外,当邮箱置于保留时,不需要挂起适用于邮箱用户的任何保留策略。 由于邮件继续按预期方式进行删除,因此用户可能不会注意到他们置于保留中。 如果组织要求通知保留用户,可以通过填充 “保留注释 ”属性并使用 RetentionUrl 属性链接到网页以获取详细信息,将通知消息添加到邮箱用户的 。 Outlook 2010 及更高版本在 Backstage 区域(位于 “文件” 功能区)中显示保留注释和 URL。 可以使用 Set-Mailbox cmdlet 添加这些属性。

保留和“可恢复的项目”文件夹

诉讼保留和 In-Place 保留使用“可恢复的项目”文件夹来保留项目。 “可恢复的项目”文件夹在 Outlook、Outlook 网页版和其他电子邮件客户端的默认视图中为隐藏状态。 若要详细了解“可恢复的项目”文件夹,请参阅 Exchange Server 中的可恢复项目文件夹

默认情况下,当用户从"已删除的项目"文件夹之外的文件夹中删除邮件时,该邮件将移动到"已删除的项目"文件夹中。 当用户通过按 SHIFT+DELETE () 从“已删除邮件”文件夹中删除项目时,邮件将移动到“可恢复的项目”文件夹,从而从用户的视图中消失。

"可恢复的项目"文件夹中的项目按照在用户邮箱数据库中配置的已删除项目保留期进行保留。 默认情况下,邮箱数据库的已删除项目保留期设置为 14 天。

“可恢复的项目”文件夹包含以下子文件夹,用于将已删除的项目存储在各种网站中,并有助于诉讼保留和 In-Place 保留:

  • 删除:在 Outlook 和 Outlook 网页版 中使用“恢复已删除邮件”功能时,从“已删除邮件”文件夹中删除的项目或从其他文件夹中软删除的项目将移至“删除项”子文件夹,并且对用户可见。 默认情况下,项目将一直位于此文件夹中,直到为邮箱数据库或邮箱配置的已删除项目保留期过期为止。

  • 清除:当用户使用 Outlook 和 Outlook 网页版 中的“恢复已删除邮件”工具 (从“可恢复的项目”文件夹中删除项目时,该项目将移动到“清除”文件夹。 超出在邮箱数据库或邮箱中配置的已删除项目保留期的项目也会移动到"清除"文件夹中。 如果用户使用"恢复已删除邮件"工具,则此文件夹中的项目对这些用户不可见。 当邮箱助理处理邮箱时,"清除"文件夹中的项目将从邮箱数据库中清除。 将邮箱用户置于诉讼保留状态时,邮箱助理不会清除此文件夹中的项目。

  • DiscoveryHolds:如果用户处于 In-Place 保留状态,已删除的项目将移动到此文件夹。 当邮箱助理处理邮箱时,它将评估此文件夹中的邮件。 与 In-Place 保留查询匹配的项将保留到查询中指定的保留期。 如果未指定保留期,则无限期保留项目或一直保留到从保留中删除用户。 但是,如果将已处于 In-Place 保留状态的用户置于诉讼保留状态,则优先使用诉讼保留。 因此,已删除的项目将改为移动到“清除”文件夹。

  • 版本:当用户 In-Place 保留或诉讼保留时,必须保护邮箱项目不被用户或进程篡改或修改。 这是通过使用 写入时复制 过程完成的。 当用户或进程更改邮箱项目的特定属性时,在提交更改之前,会将原始项目的副本保存到"版本"文件夹中。 此过程将重复进行后续更改。 还会在就地电子数据展示搜索中对"版本"文件夹中捕获的项目编制索引并返回。 删除保留后,托管文件夹助理将删除"版本"文件夹中的副本。

触发"写入时复制"的属性

项目类型 触发“写入时复制”的属性
邮件 (IPM.Note*)
公告 (IPM.Post*)		 主题
Body
附件
发件人/收件人
发送/接收日期
非邮件和公告的项目 对可见属性的任何更改(以下项除外):
  • 项目位置(当在文件夹之间移动项目时)
  • 项目状态更改(已读或未读)
  • 对保留标记进行的应用于项目的更改
默认文件夹"草稿"中的项目 无("草稿"文件夹中的项目免于"写入时复制")

重要

从与会者获得会议响应并且更新会议的跟踪信息时,组织者邮箱中的日历项目将禁用"写入时复制"功能。 对于设置了提醒的日历项和项目,ReminderTime 和 ReminderSignalTime 属性的"写入时复制"功能禁用。 对这些属性的更改并不是由"写入时复制"功能捕获的。 对 RSS 源的更改并不是由"写入时复制"功能捕获的。

尽管用户看不到“数据展示保留”、“清除”和“版本”文件夹,但“可恢复的项目”文件夹中的所有项目都可使用就地电子数据展示进行发现。 从 In-Place 保留或诉讼保留中删除邮箱用户后,托管文件夹助理将清除 DiscoveryHolds、Purges 和 Versions 文件夹中的项目。

如果邮箱未置于诉讼保留或 In-Place 保留状态,则当邮件在文件夹中驻留的时间超过已删除邮件保留期时,将先从“清除”文件夹中的项目从“可恢复的项目”文件夹中永久删除。

保留和邮箱配额

"可恢复的项目"文件夹中的项目不根据用户的邮箱配额进行计算。 在 Exchange 中,"可恢复的项目"文件夹有其自己的配额。 对于 Exchange,RecoverableItemsWarningQuotaRecoverableItemsQuota 邮箱属性的默认值分别设置为 20 GB 和 30 GB。 若要修改 Exchange Server 邮箱数据库的这些值,请使用 Set-MailboxDatabase cmdlet。 若要对单个邮箱修改这些值,请使用 Set-Mailbox cmdlet。

当用户的“可恢复项目”文件夹超出“ (” RecoverableItemsWarningQuota “参数) 指定的可恢复项目的警告配额时,邮箱服务器的 Application 事件日志中会记录一个事件。 当文件夹超出 RecoverableItemsQuota 参数) 指定的可恢复项目的配额 (时,用户将无法清空“已删除邮件”文件夹或永久删除邮箱项目。 而且,"写入时复制"也将无法创建已修改项目的副本。 因此,监视就地保留的邮箱用户的"可恢复的项目"配额很关键。

保留项和电子邮件转发

在 Exchange Server 上具有邮箱的用户可以使用 Outlook 和 Outlook 网页版为其邮箱设置电子邮件转发。 Email转发允许用户将其邮箱配置为将发送到其邮箱的电子邮件转发到位于其组织内部或外部的另一个邮箱。 管理员还可以设置邮件流规则 (也称为传输规则) 将邮件转发到另一个邮箱。 在这两种情况下,都可以配置电子邮件转发,以便发送到原始邮箱的任何邮件不会复制到该邮箱,并且仅发送到转发地址。

如果邮箱处于保留状态,则执行其他步骤。 在传递过程中,会对邮箱的保留设置进行检查。 如果邮件满足邮箱的保留条件,则会将邮件的副本保存到“收件箱”文件夹中。 这意味着您可以使用就地电子数据展示搜索原始邮箱,以查找被转发到另一个邮箱的邮件。

保留存档Skype for Business内容

Exchange 2016 和 Exchange 2019、Skype for Business 和 SharePoint 2016 提供集成的保留和电子数据展示体验,允许您跨不同的数据存储保留和搜索项目。 使用 Exchange 2016 和 2019,您可以在 Exchange 中存档Skype for Business内容,而无需使用单独的SQL Server数据库来存储已存档的 Lync 内容。 SharePoint 2016 中的集成保留和电子数据展示功能允许您从单个控制台跨所有存储区保留和搜索数据。

将Exchange Server邮箱置于 In-Place 保留或诉讼保留时,Skype for Business内容 ((如即时消息对话和联机会议) 中共享的文件)将存档到邮箱中。 如果使用 In-Place 电子数据展示搜索邮箱,则与搜索查询匹配的任何存档Skype for Business内容也会在搜索结果中返回。 还可以将搜索限制为Skype for Business邮箱中存档的内容。

若要启用Exchange Server邮箱中Skype for Business内容的存档,必须配置 Skype for Business Server 2015 与 Exchange Server 的集成。 有关详细信息,请参阅下列主题:

删除处于保留状态的邮箱

如果删除具有邮箱的用户帐户,Exchange 信息存储最终将检测到邮箱不再连接到用户帐户,并将该邮箱标记为删除,即使邮箱处于保留状态。 如果要保留邮箱,必须执行以下操作:

  1. 禁用用户帐户,而不是删除用户帐户。

  2. 更改邮箱的属性以限制对邮箱的使用和访问。 例如,将发送和接收配额设置为 1,阻止可以将邮件发送到邮箱的用户,限制可以访问邮箱的用户。

  3. 保留邮箱,直到删除所有数据或不再需要保留数据为止。

将保留邮箱从 Exchange Server 迁移到 Microsoft 365 或 Office 365

如果你有 Exchange 混合部署,将本地Exchange Server邮箱) (载入 Microsoft 365 或 Office 365 中的Exchange Online时,以下条件为 true:

  • 如果本地邮箱处于诉讼保留或就地保留状态,则在保存保留设置之前应先将邮箱移动到 Exchange Online。

  • 如果本地邮箱处于诉讼保留或就地保留状态,则"可恢复的项目"文件夹中的任何内容都会移动到 Exchange Online 邮箱。

将 Exchange Online 邮箱(卸载)移动到本地 Exchange Server 组织时,还可以保留“可恢复的项目”文件夹中的保留设置和内容。

提示

对于Exchange Server,建议使用 Exchange 混合部署将本地邮箱迁移到 Microsoft 365 或 Office 365。